ثغرة Netlogon الحرجة CVE-2026-41089: تنفيذ كود عن بعد بتقييم 9.8 يهدد كل وحدة تحكم مجال في القطاع المالي

كشفت Microsoft في تحديثات Patch Tuesday لشهر مايو 2026 عن ثغرة CVE-2026-41089 في خدمة Windows Netlogon بتقييم CVSS 9.8 من 10 — وهي ثغرة تجاوز سعة مكدس (Stack-Based Buffer Overflow) تتيح لمهاجم غير مصادق تنفيذ كود عن بعد بصلاحيات SYSTEM على أي وحدة تحكم بالمجال (Domain Controller) عبر إرسال طلب شبكي مُصنّع. والأخطر أن شركة CrowdStrike رصدت محاولات استغلال فعلية بدأت فجر 13 مايو من عناوين IP مرتبطة بمجموعة APT صينية معروفة.

ما هي خدمة Netlogon ولماذا تعتبر هدفاً استراتيجياً؟

Netlogon هي خدمة أساسية في بنية Windows Server تتولى مصادقة المستخدمين والأجهزة داخل بيئة Active Directory. كل عملية تسجيل دخول، كل سياسة مجموعة (Group Policy)، وكل عملية تكرار بين وحدات التحكم بالمجال تعتمد على هذا البروتوكول. اختراق Netlogon يعني فعلياً السيطرة الكاملة على البنية التحتية للهوية في المؤسسة بأكملها — من حسابات المستخدمين إلى الأنظمة المرتبطة بالمجال.

هذه ليست المرة الأولى التي يُستهدف فيها Netlogon. ثغرة Zerologon الشهيرة (CVE-2020-1472) في عام 2020 كانت من أخطر الثغرات في تاريخ Active Directory. لكن CVE-2026-41089 تتفوق عليها بكونها تستغل تجاوز سعة مكدس بدلاً من خلل تشفيري، مما يجعل الاستغلال أكثر موثوقية وأقل تعقيداً.

التفاصيل التقنية: كيف يعمل الاستغلال؟

تكمن الثغرة في طريقة معالجة خدمة Netlogon لطلبات الشبكة الواردة على منفذ RPC. عندما يستقبل الخادم طلباً مُصنّعاً بحجم يتجاوز المخزن المؤقت المخصص، يحدث تجاوز سعة المكدس الذي يتيح للمهاجم الكتابة فوق عنوان الإرجاع وتحويل مسار التنفيذ إلى كوده الخبيث. النتيجة: تنفيذ كود عشوائي بصلاحيات حساب SYSTEM على وحدة التحكم بالمجال.

ما يجعل هذه الثغرة كارثية هو انعدام متطلبات الاستغلال: لا حاجة لمصادقة مسبقة، لا تفاعل من المستخدم، وتعقيد الهجوم منخفض. يكفي أن يصل المهاجم إلى منفذ RPC الخاص بوحدة التحكم بالمجال عبر الشبكة — وهو أمر متاح في كثير من البيئات التي لا تطبق تقسيم الشبكات (Network Segmentation) بشكل صارم.

أكدت تقارير CrowdStrike أن كود استغلال وظيفي أصبح متاحاً علنياً، وأن مجموعة APT صينية بدأت فعلياً بمسح الإنترنت بحثاً عن وحدات تحكم مكشوفة. سُجلت أولى محاولات الاستغلال بحلول الساعة 06:00 بتوقيت UTC يوم 13 مايو — أي بعد أقل من 24 ساعة من نشر التحديث.

التأثير على المؤسسات المالية السعودية

تعتمد الغالبية العظمى من البنوك وشركات التأمين والمؤسسات المالية في المملكة على بيئة Active Directory كعمود فقري لإدارة الهوية والوصول. استغلال هذه الثغرة يمنح المهاجم صلاحيات Domain Admin فعلية، مما يتيح له استخراج قاعدة بيانات NTDS.dit التي تحتوي على جميع كلمات مرور المجال، ونشر برمجيات فدية عبر Group Policy على كل جهاز مرتبط بالمجال، والوصول إلى الأنظمة المالية الأساسية (Core Banking) المرتبطة بـ Active Directory، وتعطيل ضوابط الأمان وحلول EDR من خلال صلاحيات SYSTEM.

يصنف إطار SAMA CSCC وحدات التحكم بالمجال ضمن الأصول الحرجة (Critical Assets) التي تتطلب أعلى مستويات الحماية. كما يُلزم نطاق إدارة الثغرات (Vulnerability Management Domain) في SAMA CSCC بتطبيق التحديثات الحرجة خلال إطار زمني لا يتجاوز 72 ساعة من صدورها. أي تأخير في ترقيع هذه الثغرة يُعد مخالفة تنظيمية مباشرة.

من جهة أخرى، يشترط إطار NCA ECC ضمن ضابط إدارة التصحيحات والتحديثات وجود آلية مؤتمتة لتوزيع التحديثات الأمنية الحرجة على الأصول ذات الأولوية العالية. كما أن أي اختراق لوحدة تحكم بالمجال يُفضي حتماً إلى كشف بيانات شخصية محمية بموجب نظام حماية البيانات الشخصية (PDPL)، مما يُضاعف التبعات التنظيمية والقانونية.

التوصيات والخطوات العملية الفورية

1. تطبيق تحديث مايو 2026 فوراً على جميع وحدات التحكم بالمجال: هذه ليست ثغرة تحتمل التأجيل. ابدأ بوحدات التحكم المكشوفة على الإنترنت أو الشبكات الفرعية غير المقسمة، ثم انتقل للبقية خلال 48 ساعة كحد أقصى.
2. تقييد الوصول الشبكي لمنافذ RPC: تأكد من أن منافذ 135 و49152-65535 (Dynamic RPC) على وحدات التحكم بالمجال مقيدة فقط للأنظمة التي تحتاج الوصول فعلياً. استخدم Windows Firewall with Advanced Security أو جدران الحماية الطرفية لتطبيق قواعد صارمة.
3. مراجعة سجلات الأحداث بحثاً عن مؤشرات اختراق: راقب Event ID 4625 (محاولات تسجيل دخول فاشلة) و Event ID 4776 (محاولات مصادقة NTLM) على وحدات التحكم بالمجال. ابحث عن أنماط غير طبيعية من عناوين IP خارجية أو محطات عمل غير معروفة.
4. تفعيل قواعد الكشف في حلول EDR و SIEM: تأكد من تحديث قواعد الكشف في CrowdStrike Falcon أو Microsoft Defender for Endpoint أو أي حل EDR تستخدمه لتشمل مؤشرات الاختراق المرتبطة بـ CVE-2026-41089. أضف IOCs المنشورة من CrowdStrike إلى قوائم الحظر.
5. تطبيق مبدأ الحد الأدنى من الصلاحيات على حسابات الإدارة: راجع حسابات Domain Admins و Enterprise Admins وتأكد من عدم وجود حسابات خدمة بصلاحيات مرتفعة غير ضرورية. فعّل Protected Users Security Group لحسابات الإدارة الحساسة.
6. إجراء تمرين محاكاة اختراق Domain Controller: اختبر خطة الاستجابة للحوادث في سيناريو اختراق وحدة تحكم بالمجال. هل لديك نسخ احتياطية معزولة (Offline Backups) لـ Active Directory؟ هل فريقك يعرف إجراءات إعادة بناء الغابة (Forest Recovery)؟

الخلاصة

ثغرة CVE-2026-41089 تُذكّرنا بأن Active Directory لا يزال الهدف الأول لمجموعات التهديد المتقدمة. وحدة تحكم واحدة غير مُحدّثة تكفي لمنح المهاجم مفاتيح المملكة بأكملها. الوقت ليس في صالح أي مؤسسة — كود الاستغلال متاح ومجموعات APT تمسح الشبكات بنشاط.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتقييم أمان بيئة Active Directory لديكم قبل أن يصل المهاجمون أولاً.